Perché i tunnel protetti (come la VPN) non si mascherano come flussi HTTPS? Questo non renderebbe impossibile bloccarli?

Naviga le tue risposte
0

Paesi come la Cina sono noti per bloccare le connessioni VPN, il che causa molta frustrazione sia per i residenti che per i visitatori temporanei. Tuttavia, la Cina non applica (ancora) una modalità white-list al traffico in uscita, quindi è possibile connettersi a qualsiasi sito Web normale che non sia presente nell'elenco di esclusione.

Quindi perché il software VPN non si maschera semplicemente come pacchetti HTTPS? Ciò costringerebbe le entità come la Cina a bloccare il traffico tutto HTTPS o ad utilizzare analisi di pattern estremamente inaffidabili su tutto il traffico HTTPS. Il traffico potrebbe persino essere mascherato come pacchetti HTTP, con i dati protetti codificati in file di immagine o video falsi, il che renderebbe ancora più difficile il blocco.

    
posta JonathanReez 29.01.2017 - 14:29
fonte

3 risposte

3

In realtà abbiamo questo tipo di protocolli e funzionano abbastanza bene. Un esempio è chiamato "shadowocks". La specifica può essere trovata qui: link . Il suo obiettivo principale è semplicemente offuscare i pacchetti TCP / UDP in un traffico casuale mediante una crittografia molto semplice, in modo che GFW non possa riconoscere alcun modello ma alcuni byte casuali. È molto flessibile con molte "ciphersuites" tra cui scegliere.

Una variante di shadowocks è chiamata shadowsocks-rss, che consente un maggiore meccanismo di offuscamento, tra cui il traffico di travestimenti come TLS. Shadowsocks e shadowsocks-rss sono i pochissimi protocolli che possono essere usati efficientemente in Cina per aggirare GFW. Inoltre, questi protocolli e le loro implementazioni sono open source su Github.

    
risposta data 29.01.2017 - 15:04
fonte
1

Perché una delle basi della rete moderna (almeno per 30 anni) è il concetto di livelli . Il ruolo di una VPN è quello di incapsulare il traffico di rete per consentire alle sottoreti remote connesse attraverso una rete incontrollata di comportarsi come se fossero localmente connesse. Non più né meno.

Ma ci sono altri progetti che consentono di nascondere un flusso di rete in un tunnel incapsulato in una conversazione HTTP. Alcuni esempi di questi sono stati discussi in questa domanda SO .

Tecnicamente, è possibile incapsulare un flusso VPN completo all'interno di un tunnel HTTP (S). Ma devo ammettere che non conosco una soluzione completa. Forse perché non ci sono molti casi d'uso accettabili: le VPN sono molto utilizzate per le reti aziendali congiunte, quindi puoi trovare molti riferimenti a riguardo. Ma il tunneling HTTP suona come so che non vuoi che lo faccia, quindi lo nascondo . E poi il problema passa istantaneamente dal lato tecnico a quello legale ...

E anche se il traffico potrebbe utilizzare richieste e risposte HTTP (S) corrette, è probabile che abbia leggere differenze nelle dimensioni e nei ritardi delle richieste che consentono ai metodi euristici di rilevarlo. Una volta rilevato, può essere questione di ore prima che arrivi la polizia. Non lo userei mai in un paese come la Cina!

Per i residenti temporanei, una soluzione sarebbe quella di impostare una VPN privata prima di andare in Cina, e quindi semplicemente usarla. Se porta solo poco traffico, non dovrebbe essere bannato.

    
risposta data 29.01.2017 - 16:33
fonte
0

Qualsiasi protocollo deve essere comprensibile da entrambe le parti. Puoi avvolgere ogni protocollo in qualsiasi altro, ma la VPN che ti stai collegando deve sapere. Come lo diresti? Questo potrebbe essere risolto con TLS (https), okay. Ha solo bisogno di qualcuno che voglia sviluppare e diffondere questo protocollo oh, e c'è un overhead aggiuntivo: sulla CPU e sulla larghezza di banda

    
risposta data 29.01.2017 - 15:12
fonte

Leggi altre domande sui tag

Come crittografare nome utente e password tra il mio sito web e un'app per Android? Il nome della società viene utilizzato nella truffa della fattura di Dropbox